Le FBI recense les vingt failles les plus exploitées

Cloud

Pour la troisième année consécutive, le SANS Institute et le FBI publient les vingt failles informatiques les plus exploitées par les pirates. Objectif du rapport : informer les responsables informatiques afin de réduire le nombre d’intrusions pirates, notamment en fournissant les solutions de sécurisation. Pas sectaire, le rapport met en avant les faiblesses de Windows comme des systèmes Unix/Linux.

« Le succès de la majorité des attaques informatiques est dû à quelques failles logicielles », écrit le SANS (SysAdmin, Audit, Network, Security) Institute dans son rapport en collaboration avec le FBI. « Cela peut être attribué au fait que les hackers sont opportunistes, ils empruntent l’itinéraire le plus commode et exploitent les failles les mieux connues à l’aide des outils les plus efficaces et les plus répandus (…) Ils comptent sur l’absence de mise à jour et attaquent souvent sans discrimination, se contentant de scanner l’Internet à la recherche de systèmes vulnérables », poursuivent les rapporteurs.

Le rôle du SANS Institute n’est pas de faire la chasse aux pirates mais d’informer, essentiellement les administrateurs, des modes d’attaques informatiques les plus courants. Et les invitent évidemment à mettre à jour leurs systèmes, sachant que des correctifs adaptés à la plupart des failles sont disponibles. Le SANS propose également des solutions en collaboration avec le CERT. Pour ce troisième rapport, vingt failles ont été répertoriées contre dix en juillet 2000. Sans sectarisme, l’institut partage à égalité les vulnérabilités entre les systèmes Windows et Unix/Linux. Evidemment, les failles relevées dans le rapport n’ont rien de nouveau pour les responsables informatiques assidus. Vnunet.fr a d’ailleurs déjà évoqué nombre d’entres elles.

Applications et systèmes

Côté Windows, les failles mises en avant touchent autant les applications (serveurs IIS et SQL, navigateurs IE) que les systèmes (NT, 2000, XP). On y trouve notamment les vulnérabilités d’Internet Explorer (contrôles ActiveX, buffer overflow, MIME-type…), la faible protection de la base de registres, ou encore l’exécution d’un script VBS reçu par e-mail. Du côté d’Unix, on notera les failles liées aux RPC (Remote procedure calls) qui permettent de faire exécuter une tâche par une machine sur une autre. Le rapport note également des failles sur le serveur Web Apache rappelant que si ce serveur a une bonne réputation sur son niveau de sécurité, « il n’a pas prouvé son invulnérabilité après examen minutieux ».